이 문서의 과거 버전 (r1)을 보고 있습니다. 수정일: 2026.02.15 00:08
DNS over HTTPS(DoH)는 기존의 평문 DNS 쿼리를 HTTPS 프로토콜을 통해 암호화하여 전송하는 표준 기술이다. https://cloudflare-dns.com/dns-query는 이 기술을 구현한 대표적인 공개 엔드포인트로, Cloudflare사가 제공하는 1.1.1.1 DNS 리졸버 서비스에 접근하는 주소이다.
이 서비스는 사용자의 DNS 쿼리를 암호화함으로써, 네트워크 관리자나 ISP(인터넷 서비스 제공자), 그리고 공공 와이파이 등에서 발생할 수 있는 도청이나 DNS 스푸핑과 같은 중간자 공격을 방지하는 것을 주요 목표로 한다. 또한 Cloudflare는 이 서비스를 통해 사용자 프라이버시를 강화하기로 약속했으며, 쿼리 로그를 24시간 이내에 삭제하고 제3자에게 판매하지 않는다는 정책을 공개적으로 유지하고 있다[1].
https://cloudflare-dns.com/dns-query 엔드포인트는 IETF(국제 인터넷 표준화 기구)의 RFC 8484 표준을 준수하며, 웹 브라우저, 운영체제, 그리고 다양한 애플리케이션에서 DNS 확인자로 직접 설정하여 사용할 수 있다. 이는 단순히 웹사이트 주소를 입력하는 것이 아니라, 시스템 또는 소프트웨어의 네트워크 설정을 변경하여 모든 DNS 요청을 이 암호화된 채널로 라우팅하는 방식을 의미한다.
DNS over HTTPS(DoH)는 기존의 도메인 네임 시스템(DNS) 쿼리와 응답을 HTTPS 프로토콜을 통해 암호화하여 전송하는 표준 프로토콜이다. 이는 IETF(국제 인터넷 표준화 기구)에서 2018년에 RFC 8484로 표준화되었다. DoH의 핵심 목적은 사용자의 DNS 쿼리를 암호화함으로써 네트워크상에서 발생할 수 있는 감청, 변조, 사생활 침해를 방지하는 것이다. 기존 DNS는 일반적으로 UDP 53번 포트를 사용하는 평문 프로토콜이었기 때문에, 중간 경로에서 누구나 쿼리 내용(예: 방문하려는 웹사이트 주소)과 응답을 쉽게 확인하거나 가로챌 수 있었다.
DoH는 이러한 문제를 해결하기 위해, DNS 메시지를 HTTP/2 또는 HTTP/3를 통해 전송한다. 이는 웹 브라우징에 일반적으로 사용되는 HTTPS 트래픽(포트 443)과 동일한 채널을 공유하게 만든다. 결과적으로, 네트워크 관리자나 ISP(인터넷 서비스 제공자)는 일반 DNS 트래픽과 DoH 트래픽을 쉽게 구분할 수 없게 되며, 사용자의 DNS 활동은 다른 암호화된 웹 트래픽 사이에 섞여 보호받는다. 이는 사용자에게 더 높은 수준의 온라인 프라이버시와 보안을 제공한다.
DoH의 동작 방식은 다음과 같다. 클라이언트(예: 웹 브라라우저)는 DNS 질의를 평문 DNS 패킷 대신, 특정 형식의 HTTP POST 또는 GET 요청에 실어 DoH 서버(리졸버)로 보낸다. 이 요청은 다른 모든 HTTPS 트래픽과 마찬가지로 TLS에 의해 종단 간 암호화된다. DoH 서버는 암호화된 연결을 받아 DNS 질의를 해석하고, 평문으로 재귀적 질의를 수행한 후, 얻은 IP 주소 정보를 다시 암호화된 HTTPS 응답으로 클라이언트에게 돌려준다.
특성 | 기존 DNS | DNS over HTTPS (DoH) |
|---|---|---|
프로토콜 | UDP/TCP (평문) | HTTPS (HTTP/2 또는 HTTP/3 over TLS) |
포트 | 53 | 443 |
암호화 | 없음 | 종단 간 TLS 암호화 |
트래픽 혼합 | 구분 가능 | 일반 웹 트래픽과 구분 어려움 |
주요 목적 | 도메인 이름 변환 | 도메인 이름 변환 + 프라이버시/보안 강화 |
이 프로토콜은 Mozilla, Google, Cloudflare와 같은 주요 기업들에 의해 브라우저와 공개 DNS 서비스에 도입되면서 점차 보편화되었다. 그러나 DoH는 네트워크 수준의 필터링 정책(예: 회사나 학교의 접근 제어)을 우회할 수 있다는 점에서 일부 논쟁의 대상이 되기도 한다[2].
기존의 DNS 시스템은 주로 UDP 또는 TCP 53번 포트를 사용하는 비암호화된 평문 프로토콜을 기반으로 한다. 이 방식에서는 사용자의 DNS 쿼리와 그에 대한 응답이 네트워크를 통해 암호화 없이 전송된다. 결과적으로, 같은 네트워크에 있는 공격자나 인터넷 서비스 제공자(ISP)가 사용자가 방문하려는 웹사이트의 도메인 이름을 쉽게 감청할 수 있다. 또한, 이 평문 트래픽은 DNS 스푸핑이나 중간자 공격(MITM)과 같은 조작 공격에도 취약하다.
반면, DNS over HTTPS(DoH)는 기존 DNS의 기능을 HTTPS 프로토콜 위에 올려 암호화한다. DoH는 표준 HTTPS 포트인 443번 포트를 사용하여 모든 DNS 요청과 응답을 암호화된 TLS 터널을 통해 전송한다. 이로 인해 외부에서 쿼리 내용을 엿보거나 변조하는 것이 극히 어려워진다. https://cloudflare-dns.com/dns-query와 같은 DoH 리졸버는 이 암호화된 채널을 제공하는 엔드포인트 역할을 한다.
다음 표는 주요 차이점을 요약한다.
특성 | 기존 DNS (UDP/TCP 53) | DNS over HTTPS (DoH) |
|---|---|---|
프로토콜 | UDP/TCP (평문) | HTTPS (TLS 암호화) |
포트 | 53 | 443 |
트래픽 감청 가능성 | 높음 (평문 전송) | 매우 낮음 (암호화) |
트래픽 조작 가능성 | 비교적 높음 (스푸핑 가능) | 매우 낮음 (TLS 보호) |
트래픽 형태 | 일반 DNS 패킷 | 일반적인 HTTPS 트래픽에 섞임 |
방화벽/필터링 회피 | 어려움 (DNS 포트 차단 가능) | 상대적으로 쉬움 (일반 웹 트래픽과 구분 어려움) |
마지막으로, 네트워크 관리 측면에서도 차이가 발생한다. 기존 DNS는 네트워크 관리자가 중앙에서 쿼리를 모니터링하거나 특정 도메인을 필터링하기 상대적으로 용이하다. 그러나 DoH는 암호화를 통해 이 가시성을 제한하며, 클라이언트가 직접 외부의 공개 DoH 리졸버를 지정할 경우 조직의 내부 보안 정책을 우회할 가능성을 만든다. 이는 보안과 프라이버시를 향상시키지만, 기업 환경이나 특정 규제 하에서는 새로운 관리상의 과제가 될 수 있다.
DNS over HTTPS(DoH)는 기존의 평문 DNS 쿼리를 암호화하여 여러 보안 및 프라이버시 이점을 제공한다. 가장 큰 이점은 도청(eavesdropping)과 중간자 공격으로부터 사용자를 보호한다는 점이다. 기존 DNS에서는 네트워크 관리자, 인터넷 서비스 제공자(ISP), 또는 공공 와이파이 같은 제3자가 사용자가 방문하는 웹사이트의 도메인 이름을 쉽게 확인할 수 있었다. DoH는 쿼리와 응답을 HTTPS 프로토콜을 통해 암호화함으로써, 이 정보가 외부에 노출되는 것을 방지한다.
또한 DoH는 DNS 스푸핑이나 캐시 포이즈닝과 같은 공격을 더 어렵게 만든다. 공격자가 암호화되지 않은 DNS 트래픽을 가로채 조작된 응답을 보내면, 사용자는 악성 사이트로 유도될 수 있다. DoH는 암호화와 TLS 인증을 통해 응답의 무결성과 진위를 보장하여, 사용자가 의도한 정당한 DNS 리졸버로부터 응답을 받았는지 확인할 수 있게 한다.
프라이버시 측면에서 DoH는 사용자의 검색 및 브라우징 습관에 대한 추적을 제한한다. ISP나 다른 기관이 DNS 쿼리 로그를 수집하여 사용자 프로파일을 생성하는 것을 방해한다. 특히 Cloudflare의 1.1.1.1 서비스는 사용자 활동 데이터를 상업적으로 활용하지 않으며, 모든 쿼리 로그를 24시간 이내에 삭제한다는 강력한 프라이버시 약속을 내세운다[3].
그러나 DoH는 완전한 익명성을 보장하지는 않는다. 사용자의 IP 주소는 여전히 DNS 리졸버 서버에 전달되며, 이는 최소한의 연결 정보로 유지될 수 있다. 또한, 암호화가 적용된 도메인 이름 시스템 쿼리 자체는 네트워크 관리자가 기업 내 보안 정책을 적용하거나 악성 트래픽을 모니터링하는 데 어려움을 초래할 수 있다는 논란도 존재한다.
Cloudflare는 2018년 4월 1일 공개 DNS 리졸버 서비스인 1.1.1.1을 출시했다. 이 서비스는 전통적인 DNS 프로토콜과 함께 DNS over HTTPS 및 DNS over TLS를 지원하여 사용자의 쿼리 프라이버시와 보안을 강화하는 것을 목표로 한다.
서비스의 핵심은 1.1.1.1(IPv4)과 2606:4700:4700::1111(IPv6) 주소로 접근할 수 있는 공개 리졸버다. Cloudflare는 이 서비스 운영에 있어 사용자 데이터에 대한 엄격한 약속을 공표했다. 주요 내용은 다음과 같다.
약속 내용 | 설명 |
|---|---|
로그 데이터 보존 | Cloudflare는 영구적인 로그를 보관하지 않으며, 24시간 이내에 모든 디버깅 및 진단 로그를 삭제한다고 명시한다. |
데이터 판매 금지 | 수집된 DNS 쿼리 데이터를 어떠한 제3자에게도 판매하지 않으며, 이를 이용해 사용자에게 타겟 광고를 보내지 않는다. |
독립 감사 | 서비스의 로깅 정책 준수 여부를 확인하기 위해 정기적으로 독립적인 회계법인 KPMG의 감사를 받고 그 결과를 공개한다. |
이 서비스는 단순한 DNS 리졸버를 넘어, 악성 사이트 및 성인 콘텐츠를 차단하는 1.1.1.1 for Families와 같은 추가 기능도 제공한다. 또한, Cloudflare Gateway와 같은 기업용 보안 솔루션의 기반 인프라 역할도 수행한다.
1.1.1.1은 Cloudflare가 2018년 4월 1일[4]에 공개한 무료 공개 DNS 리졸버 서비스이다. 이 서비스의 주요 목표는 사용자의 인터넷 탐색 속도를 높이고, DNS 쿼리의 프라이버시를 보호하며, 인터넷 검열에 대항하는 것이다. 서비스의 이름은 사용할 기본 IP 주소인 1.1.1.1과 1.0.0.1에서 유래했다.
이 서비스는 전 세계에 분산된 애니캐스트 네트워크를 통해 운영된다. 이는 사용자의 DNS 쿼리가 지리적으로 가장 가까운 데이터 센터로 라우팅되어 응답 시간을 최소화함을 의미한다. Cloudflare는 1.1.1.1이 기존 공개 DNS 서비스들보다 빠르다고 주장하며, 독립적인 DNSPerf 등의 측정 도구에서도 일관되게 낮은 지연 시간을 기록한다.
서비스 운영과 관련하여 Cloudflare는 강력한 프라이버시 약속을 발표했다. 회사는 1.1.1.1을 통해 수집한 IP 주소를 24시간 이내에 삭제하며, 쿼리 로그를 영구적으로 보관하거나 판매하지 않는다고 명시했다[5]. 또한 KPMG에 의해 정기적인 감사를 받아 이 정책의 준수 여부를 검증한다.
1.1.1.1은 전통적인 DNS over UDP/TCP 포트 53을 통한 일반 DNS 해석과 함께, DNS over HTTPS 및 DNS over TLS를 지원한다. 이를 통해 사용자는 암호화되지 않은 DNS 쿼리의 단점인 도청 및 변조 위험을 줄일 수 있다.
Cloudflare는 1.1.1.1 DNS 리졸버 서비스를 운영하며, 사용자 프라이버시와 성능에 대한 명확한 약속을 공개적으로 발표했다. 이 서비스의 핵심 원칙은 사용자 데이터를 판매하거나 광고 타겟팅에 사용하지 않으며, 모든 쿼리 로그를 24시간 이내에 삭제하는 것이다[6]. 이러한 정책은 전통적인 인터넷 서비스 제공자(ISP)의 DNS 서비스가 사용자 검색 기록을 종종 수집하고 상업화하는 관행과 대비된다.
서비스의 기술적 특징으로는 빠른 응답 속도와 높은 가용성이 있다. Cloudflare는 전 세계에 분산된 애니캐스트 네트워크 인프라를 활용하여, 지리적으로 가까운 서버에서 사용자의 DNS 요청을 처리하도록 설계했다. 이는 지연 시간을 최소화하고 DNS 쿼리 해결 속도를 향상시킨다. 또한, 서비스는 DNSSEC(Domain Name System Security Extensions)을 완벽하게 지원하여, 도메인 이름 조회 과정에서의 위변조를 방지한다.
다음은 Cloudflare DNS 서비스의 주요 약속을 정리한 표다.
약속 영역 | 세부 내용 |
|---|---|
개인정보 보호 | 쿼리 로그를 24시간 이내에 삭제, 데이터 판매나 광고 타겟팅 금지 |
보안 | DNS over HTTPS(DoH) 및 DNS over TLS(DoT) 암호화 지원, DNSSEC 검증 강제 적용 |
성능 | 글로벌 애니캐스트 네트워크를 통한 낮은 지연 시간, 100% 가용성 SLA 목표 |
공개성 | 정기적인 투명성 보고서 발간, 외부 감사 기관을 통한 정책 검증 |
마지막으로, 이 서비스는 무료로 제공되며 특별한 가입 절차 없이 누구나 사용할 수 있다. Cloudflare는 이 서비스를 통해 더 빠르고 안전하며 사생활을 존중하는 인터넷의 기초를 구축하는 데 기여한다는 비전을 제시한다.
https://cloudflare-dns.com/dns-query는 Cloudflare가 제공하는 DNS over HTTPS 서비스의 표준 엔드포인트 주소이다. 이 URL은 클라이언트가 암호화된 HTTPS 연결을 통해 DNS 쿼리를 전송하고 응답을 받는 데 사용되는 주요 접점이다. IETF의 RFC 8484 표준을 준수하여 설계되었다.
기본적인 사용법은 이 엔드포인트에 특정 형식의 HTTP 요청을 보내는 것이다. 가장 일반적인 방법은 GET 요청에 dns라는 쿼리 매개변수를 사용하여 Base64로 인코딩된 DNS 메시지를 전송하는 것이다. 예를 들어, example.com의 A 레코드를 질의하려면 https://cloudflare-dns.com/dns-query?dns=[Base64_Encoded_DNS_Message] 형식의 요청을 보낸다. 또한 표준에 따라 application/dns-message 콘텐츠 타입으로 DNS 메시지를 본문에 담은 POST 요청도 지원한다.
요청과 응답 형식은 다음과 같이 요약할 수 있다.
요청 방법 | 콘텐츠 타입(Content-Type) | 데이터 위치 | 지원 여부 |
|---|---|---|---|
| (없음) |
| 지원 |
|
| HTTP 요청 본문 | 지원 |
이 엔드포인트는 JSON 형식의 응답도 지원한다. 이를 위해서는 GET 요청 시 accept 헤더를 application/dns-json으로 설정하거나, URL에 ct=application/dns-json 매개변수를 추가하면 된다. 이 모드에서는 표준 DNS 패킷 형식 대신 이름(name), 유형(type), TTL, 데이터(data) 등의 필드를 가진 구조화된 JSON 객체로 결과를 받을 수 있어, 애플리케이션에서의 파싱이 용이하다.
https://cloudflare-dns.com/dns-query는 Cloudflare의 DNS over HTTPS 서비스에 대한 표준화된 엔드포인트 주소이다. 이 URL은 RFC 8484에 정의된 DoH 표준을 준수하여 DNS 쿼리를 암호화된 HTTPS 연결을 통해 전송할 수 있도록 한다.
기본적인 사용법은 이 엔드포인트에 특정 형식의 HTTP 요청을 보내는 것이다. 가장 간단한 방법은 GET 요청을 사용하며, 조회할 도메인 이름과 원하는 응답 형식을 URL의 쿼리 매개변수로 지정하는 것이다. 예를 들어, example.com의 A 레코드를 요청하는 기본 URL 구조는 다음과 같다.
https://cloudflare-dns.com/dns-query?name=example.com&type=A
주요 쿼리 매개변수는 다음과 같다.
매개변수 | 설명 | 필수 여부 | 예시 값 |
|---|---|---|---|
| 질의할 도메인 이름 | 필수 |
|
| 요청하는 DNS 레코드 유형 | 선택 (기본값: A) |
|
POST 요청 방식도 지원하며, 이 경우 바이너리 형식의 표준 DNS 메시지를 HTTP 요청 본문에 담아 보낸다. 이 방법은 더 복잡한 쿼리에 적합하지만, 대부분의 일반 사용자나 간단한 클라이언트 설정에는 GET 방식을 사용하는 것이 편리하다.
응답은 기본적으로 application/dns-message 형식의 바이너리 데이터로 받지만, accept HTTP 헤더를 application/dns-json으로 설정하면 JSON 형식의 응답을 받을 수 있다. JSON 응답은 사람이 읽기 쉽고, 프로그래밍적으로 처리하기 용이한 구조를 제공한다.
https://cloudflare-dns.com/dns-query 엔드포인트는 표준화된 DNS over HTTPS 프로토콜을 따르며, 특정 쿼리 매개변수를 통해 DNS 질의를 수행합니다. 주요 매개변수는 다음과 같습니다.
매개변수 | 설명 | 필수 여부 | 예시 값 |
|---|---|---|---|
| 조회할 도메인 이름 | 필수 |
|
| 요청하는 DNS 레코드 유형 | 선택 (기본값: A) |
|
| DNSSEC 확인 응답 요청 플래그 | 선택 (기본값: false) |
|
| DNSSEC 검증 비활성화 플래그 | 선택 (기본값: false) |
|
요청 형식은 HTTP GET 또는 HTTP POST 메서드를 사용할 수 있습니다. GET 요청의 경우, 위 매개변수를 URL의 쿼리 문자열로 추가합니다. 예를 들어, example.com의 IPv6 주소(AAAA 레코드)를 DNSSEC 확인과 함께 요청하는 URL은 다음과 같습니다.
https://cloudflare-dns.com/dns-query?name=example.com&type=AAAA&do=true
POST 요청은 표준 DNS 메시지 형식(RFC 1035)을 그대로 HTTP 요청 본문에 담아 보냅니다. 이때 Content-Type 헤더는 application/dns-message로 설정해야 합니다. POST 방식은 특히 긴 EDNS 버퍼를 사용하는 복잡한 질의에 적합합니다.
응답 형식은 Accept 헤더로 지정할 수 있습니다. application/dns-message를 요청하면 바이너리 DNS 메시지가, application/dns-json을 요청하면 JSON 형식의 구조화된 데이터가 반환됩니다. JSON 응답에는 Answer, Authority, Additional 섹션과 함께 DNSSEC 관련 서명(Signature) 데이터 등이 포함됩니다.
클라이언트는 웹 브라우저, 운영체제, 또는 특정 애플리케이션을 통해 https://cloudflare-dns.com/dns-query를 DNS over HTTPS 리졸버로 설정할 수 있다. 설정 방법은 플랫폼과 소프트웨어에 따라 다르며, 일반적으로 네트워크 또는 보안 설정 메뉴에서 변경한다.
클라이언트 유형 | 설정 위치 (예시) | 주소/엔드포인트 |
|---|---|---|
웹 브라우저 | 브라우저의 보안 또는 네트워크 설정 |
|
운영체제 | 시스템의 네트워크 또는 DNS 설정 |
|
라우터 | 라우터 관리 페이지의 DNS 설정 |
|
모바일 앱 | 앱 내 프라이버시 또는 네트워크 고급 설정 |
|
웹 브라우저에서는 모질라 파이어폭스와 구글 크롬이 DoH 설정을 기본으로 지원한다. 파이어폭스의 경우 '설정 > 일반 > 네트워크 설정'에서 'DNS over HTTPS 사용'을 활성화하고 공급자로 'Cloudflare'를 선택한다. 크롬 및 마이크로소프트 엣지는 운영체제의 설정을 따르거나, chrome://flags 등의 실험적 기능을 통해 설정할 수 있다.
운영체제 수준에서는 마이크로소프트 윈도우, macOS, 리눅스 배포판에서 설정이 가능하다. 윈도우 11/10의 경우 '설정 > 네트워크 및 인터넷 > 어댑터 옵션 변경'에서 네트워크 어댑터 속성의 TCP/IPv4 또는 TCP/IPv6 설정을 수정하여 DNS 서버 주소를 입력하는 전통적 방식 대신, DoH를 위한 별도의 템플릿이나 그룹 정책을 사용해야 할 수 있다. 안드로이드 9 이상과 iOS 14 이상에서는 '설정 > Wi-Fi'에서 연결된 네트워크의 DNS를 '자동'에서 '수동'으로 변경하고 DoH 서버 URL을 지정할 수 있다. 또한, 라우터에 DoH를 설정하면 해당 네트워크에 연결된 모든 기기가 자동으로 보호를 받는다.
대부분의 주요 웹 브라우저는 DNS over HTTPS를 내장 지원하며, Cloudflare의 https://cloudflare-dns.com/dns-query 서버를 기본 또는 사용자 지정 옵션으로 선택할 수 있다. 설정은 일반적으로 브라우저의 고급 설정 또는 보안/개인정보 보호 메뉴에서 찾을 수 있다.
아래는 주요 브라우저별 설정 경로와 방법을 정리한 표이다.
브라우저 | 설정 경로 (예시) | Cloudflare DoH 선택 방법 |
|---|---|---|
Mozilla Firefox | 설정 → 일반 → 네트워크 설정 → 설정 | "DNS over HTTPS 사용"을 체크하고, "공급자" 목록에서 "Cloudflare (기본값)"을 선택하거나 사용자 지정 URL을 입력한다. |
Google Chrome | 설정 → 보안 및 개인정보 보호 → 보안 → 고급 | "보안 DNS 사용"을 켠 후, "현재 공급자" 옆의 "공급자 선택"에서 "Cloudflare 1.1.1.1"을 선택한다. |
Microsoft Edge | 설정 → 개인 정보, 검색 및 서비스 → 보안 | "보안 DNS 사용"을 켠 후, "사용할 서비스 공급자 선택"에서 "Cloudflare 1.1.1.1"을 선택한다. |
Apple Safari | 시스템 설정 (macOS) 또는 설정 (iOS/iPadOS) | 브라우저 자체 설정이 아닌, 운영체제 수준에서 네트워크 설정을 통해 구성해야 한다. |
설정을 적용하면 브라우저의 모든 DNS 쿼리가 암호화되어 지정된 DoH 서버로 전송된다. 일부 브라우저는 네트워크가 DoH를 차단하는 경우 자동으로 기존 DNS로 전환(fallback)하는 기능을 포함하기도 한다. 사용자는 브라우저의 개발자 도구 네트워크 탭 등을 통해 DoH 요청이 https://cloudflare-dns.com/dns-query 주소로 발생하는지 확인할 수 있다.
운영체제 수준에서 DNS over HTTPS를 설정하면 시스템의 모든 네트워크 트래픽이 해당 설정을 사용하게 되어, 개별 애플리케이션을 별도로 구성할 필요가 없어집니다. 이 방법은 Windows 11, macOS, 리눅스 배포판 등 주요 데스크톱 운영체제에서 지원됩니다.
Windows에서는 설정 앱의 '네트워크 및 인터넷' 섹션에서 이더넷 또는 Wi-Fi 어댑터의 속성을 수정하여 암호화된 DNS를 구성할 수 있습니다. 사용자는 '기본 설정 DNS' 및 '대체 DNS' 필드에 https://cloudflare-dns.com/dns-query와 같은 DoH 리졸버 URL을 직접 입력하는 대신, 제공되는 목록에서 'Cloudflare (1.1.1.1)'와 같은 사전 정의된 서비스를 선택할 수 있습니다. 이 선택은 내부적으로 해당 공급자의 DoH 엔드포인트로 매핑됩니다.
macOS 및 iOS에서는 '시스템 설정' 또는 '설정'의 네트워크 항목에서 활성 연결을 선택한 후 'DNS 서버 구성' 영역을 편집합니다. 여기서 기존 DNS 서버 주소를 제거하고 Cloudflare의 DoH 서버 주소(예: 1.1.1.1, 1.0.0.1)를 추가한 후, 하단의 '암호화된 DNS 옵션'을 켜고 '종료점 구성'에서 자동으로 감지된 Cloudflare 서버를 선택하거나 수동으로 URL을 입력하여 설정을 완료합니다.
리눅스 배포판의 경우 설정 방법이 다양하지만, systemd-resolved를 사용하는 시스템(예: 우분투, 페도라)에서는 /etc/systemd/resolved.conf 파일을 편집하거나 resolvectl 명령줄 도구를 사용하여 DoH를 설정할 수 있습니다. 구성 파일에 DNS=1.1.1.1#cloudflare-dns.com과 같은 형식으로 서버를 지정하고 DNSOverTLS=yes 대신 DNSOverHTTPS=yes를 설정하는 방식으로 적용합니다. 설정 후에는 systemctl restart systemd-resolved 명령으로 서비스를 재시작해야 합니다.
애플리케이션별 설정은 특정 소프트웨어 내에서 DNS over HTTPS 리졸버를 직접 지정하는 방식이다. 운영체제 전체의 DNS 설정을 변경하지 않고도 해당 애플리케이션만 Cloudflare의 https://cloudflare-dns.com/dns-query 엔드포인트를 사용하도록 구성할 수 있다. 이 방법은 시스템 설정을 변경할 권한이 없거나, 특정 프로그램의 트래픽만 암호화하고 싶을 때 유용하다.
일반적인 데스크톱 웹 브라우저는 자체 DoH 설정 기능을 제공한다. Mozilla Firefox의 경우 설정의 '네트워크 설정'에서 'DNS over HTTPS 사용'을 활성화하고 제공업체 목록에서 'Cloudflare (1.1.1.1)'를 선택하면 된다. Google Chrome 및 Microsoft Edge는 보안 DNS 설정에서 '보안 DNS 사용'을 켠 후 '사용자 지정 공급자'에 https://cloudflare-dns.com/dns-query URL을 직접 입력할 수 있다.
명령줄 도구나 특정 개발 환경에서도 애플리케이션 수준의 설정이 가능하다. 예를 들어, curl 명령어는 --doh-url 인자를 통해 DoH 서버를 지정한다. 많은 리눅스 배포판의 시스템 리졸버인 systemd-resolved도 /etc/systemd/resolved.conf 파일을 편집하여 DoH 서버를 설정할 수 있다. 모바일 애플리케이션 중에서는 자체 설정 메뉴에서 사용자 정의 DNS 서버를 지원하는 경우가 있으며, 여기에 DoH URL을 입력하여 적용한다.
애플리케이션/환경 | 설정 방법 |
|---|---|
Firefox | 설정 → 일반 → 네트워크 설정 → 설정 → 'DNS over HTTPS 사용' 활성화 및 Cloudflare 선택 |
Chrome/Edge | 설정 → 보안 및 개인정보 보호 → 보안 → '보안 DNS 사용' 활성화 → 사용자 지정 공급자에 URL 입력 |
curl |
|
systemd-resolved |
|
이러한 설정은 애플리케이션의 네트워크 요청이 운영체제의 기본 리졸버를 우회하여 직접 지정된 DoH 서버로 전송되도록 한다. 모든 애플리케이션이 이 기능을 지원하는 것은 아니므로, 공식 문서를 확인하는 것이 필요하다.
https://cloudflare-dns.com/dns-query 엔드포인트는 표준화된 DNS over HTTPS 프로토콜을 따르므로, HTTP 클라이언트 라이브러리를 사용하여 프로그래밍 방식으로 DNS 쿼리를 보낼 수 있다. 이 API는 주로 GET과 POST 두 가지 HTTP 메서드를 지원한다.
GET 요청을 사용할 때는 DNS 쿼리가 Base64Url로 인코딩되어 dns 매개변수 값으로 URL에 포함된다. 예를 들어, example.com의 A 레코드를 요청하는 쿼리는 다음과 같은 형식이 된다.
```
GET https://cloudflare-dns.com/dns-query?dns=AAABAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE
```
Accept 헤더를 application/dns-message로 설정해야 정상적인 응답을 받을 수 있다. 반면, POST 요청을 사용할 때는 인코딩되지 않은 원본 DNS 메시지를 HTTP 요청 본문에 그대로 담아 보낸다. 이때 Content-Type 헤더도 application/dns-message로 설정해야 한다. POST 방식은 특히 긴 EDNS 버퍼를 사용하는 복잡한 쿼리에 더 적합하다.
HTTP 메서드 | 사용 시나리오 | Content-Type/Accept 헤더 | 쿼리 데이터 위치 |
|---|---|---|---|
| 간단한 쿼리, 브라우저 호환성 |
| URL 매개변수 ( |
| 모든 쿼리, 특히 큰 패킷이 필요한 경우 |
| HTTP 요청 본문 (바이너리) |
응답은 요청의 Accept 헤더에 따라 결정된다. application/dns-message를 요청하면 표준 바이너리 DNS 메시지 형식으로 응답이 돌아온다. 반면, application/dns-json을 요청하면 JSON 형식의 응답을 받을 수 있다. JSON 응답은 GET /dns-query?name=example.com&type=A와 같은 단순화된 쿼리로도 호출 가능하며, 이는 사람이 읽기 쉽고 스크립트 언어에서 파싱하기 편리한 구조를 제공한다.
https://cloudflare-dns.com/dns-query 엔드포인트는 클라이언트의 요청에 따라 두 가지 형식의 응답을 지원합니다. 가장 일반적인 형식은 표준 DNS 메시지를 HTTP 응답 본문에 담아 반환하는 것이며, application/dns-message MIME 타입을 사용합니다. 이는 RFC 8484에 정의된 표준 DNS over HTTPS(DoH) 프로토콜을 따릅니다. 클라이언트는 이진 형식의 DNS 쿼리를 HTTP 요청 본문(POST)이나 dns 쿼리 매개변수(GET)로 보내고, 서버는 동일한 이진 형식의 DNS 응답 메시지를 돌려받습니다.
또 다른 형식은 JSON을 기반으로 한 응답입니다. 클라이언트가 Accept 헤더를 application/dns-json으로 설정하여 요청하면, 서버는 DNS 질의 결과를 구조화된 JSON 형식으로 반환합니다. 이 형식은 사람이 읽기 쉽고, REST API를 통한 통합이 용이합니다. JSON 응답의 주요 필드는 다음과 같습니다.
필드명 | 설명 |
|---|---|
| DNS 응답 코드를 나타냅니다. 0은 오류 없음을 의미합니다. |
| 응답이 잘렸는지(Truncated) 여부를 나타내는 불리언 값입니다. |
| 재귀 질의 요청(Recursion Desired)이 설정되었는지 여부입니다. |
| 재귀 질의 가능(Recursion Available) 여부를 나타냅니다. |
| 응답 데이터가 DNSSEC에 의해 검증되었는지 여부입니다. |
| DNSSEC 검증 비활성화 여부입니다. |
| 원본 질의를 나타내는 객체 배열입니다. 각 객체는 |
| 질의에 대한 답변 리소스 레코드(RR) 배열입니다. 각 레코드는 |
JSON 형식은 주로 간단한 DNS 조회에 사용되며, 모든 고급 DNS 기능을 지원하지는 않을 수 있습니다. 반면, 표준 application/dns-message 형식은 완전한 DNS 프로토콜 호환성을 제공하여, EDNS, DNSSEC 서명 검증 등 모든 DNS 기능을 활용할 수 있습니다. 개발자는 애플리케이션의 필요에 따라 적절한 응답 형식을 선택합니다.
Cloudflare의 DNS over HTTPS 서비스는 전 세계에 분산된 애니캐스트 네트워크를 기반으로 빠른 응답 속도를 제공합니다. 수많은 에지 서버 위치를 통해 사용자의 지리적 위치에 가까운 서버에서 쿼리를 처리하여 지연 시간을 최소화합니다. 독립적인 성능 측정 조사에서 1.1.1.1 리졸버는 종종 가장 빠른 공개 DNS 서비스 중 하나로 평가받습니다[8]. 서비스 가용성은 100%에 가까우며, 이중화된 인프라와 자동 장애 조치 메커니즘을 통해 안정적인 서비스를 유지합니다.
데이터 처리와 관련된 신뢰성은 엄격한 로깅 정책에서 비롯됩니다. Cloudflare는 사용자의 개인 식별 정보를 남기지 않는다는 원칙을 공표합니다. DNS 쿼리 로그는 24시간 이내에 삭제되며, 이러한 로그는 절대 영업 목적으로 사용되거나 제3자에게 판매되지 않습니다. 이 정책은 KPMG에 의해 정기적으로 검토 및 감사를 받아 독립적으로 검증됩니다[9]. 이는 사용자 프라이버시 보호에 대한 강력한 약속을 반영합니다.
성능 측정 지표는 다음과 같은 요소들을 포함합니다.
측정 항목 | 설명 |
|---|---|
응답 시간 | 쿼리를 보내고 응답을 받는 데 걸리는 지연 시간(밀리초 단위) |
가용성 | 서비스가 중단 없이 정상적으로 운영되는 시간의 비율 |
쿼리 처리량 | 단위 시간당 처리할 수 있는 DNS 쿼리의 수 |
이 서비스는 대규모 DDoS 공격을 포함한 다양한 위협에 대비해 설계되었으며, Cloudflare의 전체 네트워크 용량을 통해 쿼리 부하를 분산시켜 신뢰성을 보장합니다.
Cloudflare의 1.1.1.1 DNS 리졸버는 전 세계에 분산된 애니캐스트 네트워크를 기반으로 구축되어 빠른 응답 속도와 높은 가용성을 제공하는 것을 핵심 목표로 삼았다. 사용자의 지리적 위치에 가장 가까운 데이터 센터로 쿼리를 라우팅하여 지연 시간을 최소화한다. 독립적인 성능 측정 조사들에 따르면, 1.1.1.1은 종종 평균 및 95번째 백분위수 지연 시간에서 가장 빠른 공개 DNS 서비스 중 하나로 평가받는다[10].
서비스의 가용성은 매우 높은 수준을 유지한다. Cloudflare는 100% 가용성을 약속하며, 이를 위해 글로벌 네트워크 인프라와 중복 시스템을 운영한다. 주요 장애나 유지 보수 시에도 트래픽은 자동으로 다른 정상적인 데이터 센터로 전환되어 서비스 중단이 발생하지 않도록 설계되었다. 이 높은 신뢰성은 DNS 쿼리 처리의 핵심 인프라가 Cloudflare의 광범위한 콘텐츠 전송 네트워크와 통합되어 있기 때문에 가능하다.
성능과 관련된 주요 지표는 다음과 같다.
지표 | 설명 |
|---|---|
평균 응답 시간 | 일반적으로 10ms 미만의 매우 낮은 지연 시간을 보인다. |
가용성 | 99.9% 이상의 가용성을 목표로 하며, 실제로는 거의 100%에 가깝게 운영된다. |
처리 용량 | 대규모 분산 네트워크를 통해 초당 수백만 건의 쿼리를 처리할 수 있다. |
캐시 적중률 | 전 세계적인 사용자 기반을 통해 DNS 레코드의 캐시 적중률이 높아, 권한 서버에 재질의할 필요가 줄어든다. |
이러한 성능은 표준 DNS뿐만 아니라 DNS over HTTPS 및 DNS over TLS를 통한 암호화된 쿼리에서도 동일하게 적용된다. https://cloudflare-dns.com/dns-query 엔드포인트를 통한 DoH 쿼리도 최적화된 경로로 전송되어, 암호화 오버헤드가 최종 사용자 체감 지연 시간에 미치는 영향은 미미하다.
Cloudflare는 1.1.1.1 DNS 리졸버와 https://cloudflare-dns.com/dns-query DoH 서비스에 대해 엄격한 데이터 보존 정책을 공표하고 운영한다. 이 정책의 핵심은 사용자의 쿼리 로그를 24시간 이내에 삭제하고, 이러한 로그를 어떠한 식으로도 영구적으로 저장하거나 개인 식별 정보와 연결하지 않겠다는 약속이다.
구체적인 데이터 처리 방식은 다음과 같다. Cloudflare는 서비스 운영 및 문제 해결을 위해 제한된 기간 동안 익명화된 데이터를 수집할 수 있으나, 이는 개별 사용자를 추적할 수 없는 형태로 처리된다. 수집될 수 있는 정보의 예는 다음과 같다.
데이터 유형 | 처리 목적 | 보존 기간 |
|---|---|---|
익명화된 DNS 쿼리 로그 | 서비스 성능 모니터링, 악성 트래픽 분석 | 24시간 이내 삭제 |
집계된 성능 메트릭 | 전반적인 서비스 상태 및 속도 측정 | 장기 보관 (개인 식별 불가) |
보안 위협 데이터 (예: DDoS 공격 패턴) | 서비스 보안 유지 및 개선 | 위협 대응에 필요한 기간 |
이러한 정책은 GDPR 및 기타 주요 프라이버시 규정을 준수하기 위해 설계되었다. Cloudflare는 제3자에게 개인 데이터를 판매하지 않으며, 법적 요구가 있을 경우를 제외하고는 수집한 데이터를 타사와 공유하지 않는다고 명시한다. 사용자는 공식 개인정보처리방침과 보안 연구원의 감사 보고서[11]를 통해 이러한 약속의 이행 여부를 확인할 수 있다.
DNS over HTTPS(DoH)를 사용하는 주요 동기는 기존 DNS 프로토콜의 보안 취약점을 해결하는 것이다. DoH는 HTTPS 프로토콜을 터널로 사용하여 DNS 쿼리와 응답을 암호화한다. 이는 네트워크 상의 제삼자가 사용자가 방문하는 웹사이트의 도메인 이름을 쉽게 엿볼 수 있는 평문 전송의 문제를 해결한다. 암호화는 중간자 공격이나 DNS 스푸핑을 통한 조작을 훨씬 더 어렵게 만든다. 또한, 표준 HTTPS 포트(443)를 사용함으로써 네트워크 관리자가 DNS 트래픽을 쉽게 차단하거나 감시하는 것을 어렵게 하는 측면이 있다.
그러나 DoH 사용 시 몇 가지 주의점이 존재한다. 첫째, 암호화는 종단 간 보안을 제공하지만, DNS 리졸버 서비스 제공자(이 경우 Cloudflare)에게는 쿼리 내용이 평문으로 노출된다. 이는 사용자가 서비스 제공자의 로깅 정책과 데이터 보존 약속을 신뢰해야 함을 의미한다. 둘째, DoH는 애플리케이션 수준에서 설정되는 경우가 많아, 운영체제의 전통적인 DNS 설정을 우회할 수 있다. 이는 기업 네트워크의 보안 정책이나 부모의 자녀 보호 필터링 도구가 의도하지 않게 무시될 수 있는 가능성을 내포한다.
또한, DoH는 DNS 캐시 포이즈닝과 같은 일부 공격을 방지하지만, 모든 위협을 제거하는 것은 아니다. 예를 들어, 악성 소프트웨어가 이미 사용자의 장치를 감염시킨 경우, 해당 앱은 정상적인 DoH 채널을 통해 악성 도메인으로의 연결을 해결할 수 있다. 마지막으로, 암호화 오버헤드로 인해 초기 연결 설정 시 매우 미세한 지연이 발생할 수 있으나, 연결 재사용이 이루어지면 이 영향은 최소화된다.
DNS over HTTPS는 기존의 평문 DNS 쿼리를 HTTPS 프로토콜 위에서 암호화하여 전송하는 기술이다. 이 방식의 핵심 보안 이점은 엔드투엔드 암호화를 통해 중간자 공격을 효과적으로 방지한다는 점이다. 기존 DNS에서는 네트워크 경로상의 공격자가 쿼리 내용을 엿보거나, 위조된 응답을 삽입하는 것이 비교적 쉬웠다. 그러나 DoH를 사용하면 모든 DNS 요청과 응답이 TLS 암호화 채널을 통해 전송되므로, 제3자가 통신 내용을 도청하거나 변조하는 것을 근본적으로 차단한다.
이 암호화는 특히 공용 Wi-Fi 네트워크나 신뢰할 수 없는 ISP 환경에서 사용자의 프라이버시와 보안을 강화한다. 공격자가 네트워크 트래픽을 모니터링하더라도, 사용자가 방문하려는 웹사이트의 도메인 이름을 알아낼 수 없다. 또한, 암호화된 채널을 통해 신뢰할 수 있는 리졸버(예: Cloudflare의 서버)에 직접 연결되므로, DNS 캐시 포이즈닝이나 DNS 스푸핑과 같은 공격에 훨씬 더 강인해진다.
그러나 몇 가지 주의점도 존재한다. DoH는 클라이언트와 리졸버 사이의 통신만을 보호한다. 리졸버가 최종 권한 서버에 질의를 보내는 과정은 여전히 기존의 암호화되지 않은 프로토콜을 사용할 수 있다. 또한, 암호화 자체는 통신 경로의 보안을 담보하지만, 사용자가 선택한 DoH 리졸버 제공자 자체를 신뢰해야 한다는 점은 변하지 않는다. 제공자가 사용자의 쿼리 로그를 어떻게 처리하는지는 별개의 프라이버시 정책 문제이다.
공격 유형 | 기존 DNS의 취약점 | DoH를 통한 방지 메커니즘 |
|---|---|---|
도청 | 평문 전송으로 쿼리 내용 노출 | TLS 암호화로 쿼리 내용 보호 |
변조/스푸핑 | 위조된 응답 삽입 가능 | 암호화된 채널과 응답 무결성 검증으로 방지 |
중간자 공격 | 네트워크 단계에서 가로채기 용이 | 인증된 서버와의 엔드투엔드 암호화 세션 필요 |
결론적으로, https://cloudflare-dns.com/dns-query와 같은 DoH 엔드포인트를 사용하는 것은 네트워크 계층에서의 감시와 조작으로부터 사용자를 보호하는 강력한 수단이다. 이는 전송 계층 보안을 DNS 시스템에 적용함으로써, 인터넷의 가장 기본적인 이름 확인 과정의 신뢰성을 높인다.
DNS over HTTPS는 전송 계층 보안을 통한 DNS와 함께 기존 도메인 네임 시스템의 보안과 프라이버시를 크게 향상시키지만, 몇 가지 제한 사항과 사용 시 고려해야 할 점이 존재합니다.
첫 한계는 암호화 자체의 범위에 있습니다. DoH는 사용자와 DNS 리졸버 사이의 통신만을 암호화합니다. 리졸버에서 최종 권한 있는 네임 서버까지의 구간, 즉 재귀적 질의의 나머지 경로는 일반적으로 암호화되지 않은 채로 남아 있을 수 있습니다. 또한, 암호화된 트래픽이 일반 DNS 포트(53)가 아닌 HTTPS 포트(443)를 사용함에 따라, 일부 엄격한 네트워크 정책을 가진 기업이나 공공 네트워크에서는 DoH 트래픽이 차단되거나 감지되어 연결 문제를 일으킬 수 있습니다.
사용자는 서비스 제공자에 대한 의존도와 신뢰 문제를 고려해야 합니다. Cloudflare의 1.1.1.1과 같은 공개 DoH 리졸버를 사용하면, 모든 DNS 질의가 해당 제공자를 경유하게 됩니다. 이는 네트워크 관리자가 로컬 네트워크 정책(예: 악성 사이트 차단)을 적용하기 어렵게 만들 수 있으며, 사용자의 질의 기록이 중앙화된 단일 공급자에게 집중될 수 있다는 프라이버시 우려를 낳습니다. Cloudflare는 엄격한 무로그 정책을 선전하지만, 이는 궁극적으로 회사의 정책과 신뢰성에 의존하는 것입니다.
제한 사항 | 설명 및 주의점 |
|---|---|
암호화 범위 | 최종 권한 서버까지의 전체 경로가 암호화되는 것은 아닙니다. |
네트워크 차단 | 포트 443의 비정상 트래픽으로 식별되어 일부 네트워크에서 차단될 수 있습니다. |
로컬 정책 우회 | 기업이나 학교 네트워크의 보안/차단 정책을 무효화할 수 있습니다. |
중앙화 및 신뢰 | 질의 데이터가 단일 공급자에게 집중되며, 제공자의 무로그 정책을 신뢰해야 합니다. |
성능 오버헤드 | HTTP/TLS 핸드셰이크로 인해 초기 연결 시 일반 DNS보다 지연이 발생할 수 있습니다. |
마지막으로, 기술적 성능 측면에서도 고려할 점이 있습니다. DoH 연결을 설정할 때 필요한 TLS 핸드셰이크는 초기 지연을 유발할 수 있습니다. 캐싱으로 인해 반복 질의 시 이 영향은 줄어들지만, 지연에 매우 민감한 애플리케이션에서는 고려 대상이 될 수 있습니다. 또한, 모든 클라이언트 소프트웨어와 운영체제가 DoH를 완벽하게 지원하는 것은 아니므로, 호환성 문제가 발생할 수도 있습니다.
다른 조직과 기업도 DNS over HTTPS와 DNS over TLS를 제공하는 공개 DNS 리졸버 서비스를 운영하고 있다. 주요 대안으로는 구글의 8.8.8.8을 기반으로 한 DoH/DoT 서비스와 쿼드9가 있다.
서비스 제공자 | 주요 DNS 주소 | DoH 엔드포인트 예시 | DoT 서버 | 주요 특징 |
|---|---|---|---|---|
Google Public DNS |
|
|
| 글로벌 Anycast 네트워크, ECS 지원[12] |
Quad9 |
|
|
| 악성 도메인 차단에 중점을 둔 보안 중심 서비스 |
OpenDNS (Cisco) |
|
| 사용자 지정 포트 | 가족 필터링, 보안 옵션 등 추가 기능 제공 |
AdGuard DNS |
|
|
| 광고 및 추적 도메인 차단 기능을 기본으로 내장 |
Cloudflare는 1.1.1.1 서비스를 확장한 Cloudflare Gateway 솔루션도 제공한다. Gateway는 DNS 필터링 기능을 넘어서서, 전체 프록시 서비스로 작동하여 웹 트래픽에 대한 보안 정책 적용, 데이터 손실 방지, 제로 트러스트 네트워크 접근 제어 등을 가능하게 한다. 이는 기업이나 조직이 중앙에서 관리하는 보안 및 콘텐츠 정책이 필요한 경우에 적합한 대안이 된다.
Cloudflare의 DNS over HTTPS 서비스 외에도 사용할 수 있는 공개 DoH 및 DNS over TLS 서비스는 여러 가지가 존재합니다. 이들은 각기 다른 운영 주체에 의해 제공되며, 프라이버시 정책, 서버 위치, 추가 기능 등에서 차이를 보입니다.
주요 공개 DoH/DoT 서비스는 다음과 같습니다.
서비스 제공자 | 주요 DoH 엔드포인트 | 주요 DoT 서버 | 주요 특징 |
|---|---|---|---|
|
| 8.8.8.8 등 공개 DNS 기반, 광고 및 사용 통계 수집 가능성[13]. | |
|
| ||
사용자 정의 URL | 사용자 정의 호스트명 | 클라우드 기반 필터링, 사용자 정의 블록리스트/화이트리스트, 상세한 분석 대시보드 제공. | |
| 해당 없음 | iCloud+ 구독자용, iCloud Private Relay 기능의 일부로 제공. | |
|
| 광고, 추적기, 성인 콘텐츠 차단 등 필터링 옵션을 별도 서버로 제공. |
이들 서비스를 선택할 때는 몇 가지 요소를 고려해야 합니다. 첫째는 운영자의 신뢰성과 프라이버시 정책입니다. 일부 제공자는 쿼리 로그를 보관하거나 데이터를 분석할 수 있습니다. 둘째는 성능으로, 사용자의 지리적 위치와 가까운 서버를 운영하는 제공자를 선택하면 응답 속도가 개선될 수 있습니다. 셋째는 추가 기능의 필요성입니다. 콘텐츠 필터링, 맬웨어 차단 등 특정 기능이 필요한 경우 이를 제공하는 서비스를 선택합니다. 마지막으로 DNS over TLS 지원 여부도 확인하는 것이 좋습니다. DoT는 DoH와 다른 프로토콜이지만 동일한 암호화 목적을 가지며, 일부 네트워크 환경이나 장치에서는 DoT가 더 적합할 수 있습니다.
Cloudflare Gateway는 클라우드 기반의 보안 서비스 웹 게이트웨이(SWG)로, 조직의 네트워크 트래픽을 안전하게 필터링하고 관리하는 플랫폼이다. 이 서비스는 https://cloudflare-dns.com/dns-query 엔드포인트를 통해 제공되는 일반 공개 DNS 서비스와는 차별화된, 기업용 보안 및 정책 제어 기능을 제공한다. Gateway는 DNS, HTTP/HTTPS 트래픽 모두에 대해 중앙 집중식 정책을 적용할 수 있으며, DNS over HTTPS 및 DNS over TLS를 포함한 암호화된 DNS 쿼리를 기본적으로 지원한다.
Cloudflare DNS 서비스와 Gateway의 주요 연계 방식은 다음과 같다.
연계 방식 | 설명 |
|---|---|
DNS 필터링 기반 | Gateway는 모든 DNS 쿼리를 가로채어 정책(예: 악성 사이트, 카테고리 차단)에 따라 필터링한다. 이때 내부적으로 Cloudflare의 글로벌 네트워크와 위협 인텔리전스를 활용한다. |
통합 정책 관리 | 관리자는 단일 대시보드에서 DNS 정책과 웹 트래픽 정책(HTTPS 검사 등)을 통합적으로 설정하고 모니터링할 수 있다. |
보안 기능 강화 | 공개 DNS 서비스보다 향상된 보안 기능을 제공하며, 제로 트러스트 보안 모델의 핵심 구성 요소로 작동한다. |
사용자는 Gateway를 통해 더 높은 수준의 제어와 가시성을 확보한다. 예를 들어, 특정 부서나 사용자 그룹에 맞춤화된 DNS 필터링 정책을 설정하거나, 모든 DNS 쿼리에 대한 상세한 감사 로그를 확인할 수 있다. 또한 Gateway의 DNS over HTTPS 리졸버는 공개 서비스와 별도로 운영되며, 조직의 독자적인 보안 정책과 허용 목록/차단 목록이 적용된다.
이러한 연계는 기존의 공개 DNS 서비스를 보안 인프라의 일부로 확장하는 개념이다. 조직은 먼저 1.1.1.1 같은 공개 서비스를 도입한 후, 더 포괄적인 보안과 정책 제어가 필요해지면 Cloudflare Gateway로 업그레이드하는 경로를 선택할 수 있다.
* Cloudflare의 1.1.1.1은 무료인가요?
네, Cloudflare의 공개 DNS 리졸버 서비스(1.1.1.1)와 https://cloudflare-dns.com/dns-query DoH 엔드포인트는 완전히 무료로 사용할 수 있습니다. Cloudflare는 이 서비스를 통해 더 빠르고 안전한 인터넷을 조성하는 것을 목표로 합니다.
* Cloudflare는 내 DNS 쿼리 데이터를 저장하나요?
Cloudflare는 매우 엄격한 로깅 정책을 유지합니다. DNS 쿼리에서 발생하는 개인 식별 정보(예: 사용자의 IP 주소)는 24시간 이내에 삭제합니다. 또한, 이러한 데이터를 어떠한 광고 목적으로도 판매하거나 사용하지 않습니다[15].
* DNS over HTTPS(DoH)와 DNS over TLS(DoT) 중 무엇을 선택해야 하나요?
두 프로토콜 모두 암호화를 통해 기존 DNS의 보안 문제를 해결합니다. DoT는 별도의 853번 포트를 사용하는 반면, DoH는 일반적인 HTTPS(443번 포트) 트래픽에 섞여 나가기 때문에 방화벽이나 네트워크 감시에서 차단되거나 식별하기 더 어려울 수 있습니다. 사용 편의성과 호환성 측면에서는 DoH가 더 광범위하게 지원되는 경향이 있습니다.
* Cloudflare DNS를 사용하면 인터넷 속도가 빨라지나요?
DNS 리졸버의 응답 속도는 웹사이트 접속 시 초기 연결 지연에 영향을 미칩니다. Cloudflare는 전 세계에 분산된 애니캐스트 네트워크를 활용하여 매우 낮은 지연 시간을 제공하도록 설계되었습니다. 이는 특히 ISP의 기본 DNS 서버가 느린 경우 체감 속도 향상에 도움이 될 수 있습니다. 그러나 실제 파일 다운로드나 스트리밍 속도 등은 DNS와 직접적인 관계가 없습니다.
* 모든 기기와 운영체제에서 Cloudflare DNS를 설정할 수 있나요?
대부분의 최신 운영체제와 기기는 1.1.1.1을 일반 DNS 서버 주소로 설정하는 것을 지원합니다. DoH 또는 DoT를 사용하려면 해당 프로토콜을 지원하는 클라이언트(예: 최신 웹 브라우저, 특정 버전의 안드로이드, iOS, macOS, 윈도우 11 이상)가 필요합니다. 공식 Cloudflare 앱(1.1.1.1)을 사용하면 여러 플랫폼에서 더 쉽게 설정할 수 있습니다.
* 웹 필터링이나 자녀 보호 기능이 있나요?
기본 https://cloudflare-dns.com/dns-query 엔드포인트는 어떠한 콘텐츠 필터링도 수행하지 않는 중립적인 리졸버입니다. 그러나 Cloudflare는 맬웨어 및 성인 콘텐츠를 차단하는 필터링 옵션을 별도로 제공합니다.
* 맬웨어 차단: https://security.cloudflare-dns.com/dns-query
* 맬웨어 및 성인 콘텐츠 차단: https://family.cloudflare-dns.com/dns-query
이러한 특수 엔드포인트를 설정하여 사용할 수 있습니다.
* 서비스가 차단된 국가나 네트워크에서도 사용할 수 있나요?
일부 국가나 네트워크(예: 학교, 회사)에서는 공개 DNS 서비스나 특정 포트(DoT의 853번 포트)를 차단할 수 있습니다. DoH는 일반 HTTPS 트래픽과 구분하기 어려워 차단을 우회할 가능성이 더 높습니다. 그러나 이는 지역의 인터넷 정책에 따라 달라지며, Cloudflare 서비스 자체가 접근 불가능할 수도 있습니다.